其他分享
首页 > 其他分享> > 网络入侵检测系统(IDS)的安装部署

网络入侵检测系统(IDS)的安装部署

作者:互联网

安装snort入侵检测系统

1、登录ids系统

      登录实验机后,打开桌面上的putty程序,输入10.1.1.106,再点击Open.。

      输入用户名:root,密码:bjhit

 

 

创建snortdb数据库

      root@IDS:~# mysql -u root -p123456 #登录mysql

      进入数据库后,创建一个数据库命名为snortdb。

      mysql> create database snortdb;

      mysql> grant create, insert, select, update on snortdb.* to snort@localhost;

      mysql> set password for snort@localhost=password('snortpassword');

      创建一个数据库用户,用户名为snort,密码为snortpassword。

      将snort-mysql自带的软件包中附带的sql文件,导入到数据库中。

      # cd /usr/share/doc/snort-mysql/

      # zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword

      # rm /etc/snort/db-pending-config

 

 

配置snort

      配置好了数据库后,需要配置Snort配置文件(/etc/snort/snort.conf),告诉snort以后

      日志写入到snortdb数据库中。

      # vi /etc/snort/snort.conf

      找到文件中“var HOME_NET any”一行,将其修改为要监控的网络段,

      并启用下面几行,如下:

      #var HOME_NET any

      var HOME_NET 10.1.1.0/24

      #

      #var HOME_NET any

      # Set up the external network addresses as well.  A good start may be "any"

      #var EXTERNAL_NET any

      var EXTERNAL_NET !$HOME_NET

      --------------------

      # output database: log, mysql, user=root password=test dbname=db host=localhost

      output database: log, mysql, user=snort password=snortpassword dbname=snortdb host=localhost

      检测snort.conf配置文件是否正常:

      # snort -c /etc/snort/snort.conf

启动snort:

      # service snort start

 

 

这里需重新创建snort用户

      mysql -u root -p123456

      mysql> grant create, insert, select, update on snortdb.* to snort@localhost;

      mysql> set password for snort@localhost=password('snortpassword');

2、配置Apache文件

      将acidbase的安装目录复制到/var/www目录中

      # cp -r /usr/share/acidbase/ /var/www/

      修改apache配置文件:(如下图)

      vi /etc/apache2/sites-available/default

 在文件底部</VirtualHost>一行之前加入acidbase相关内容(上图红框框部分)

      配置好了后,需要重启apache2

      # service apache2 restart

      修改php.ini文件

      vi /etc/php5/apache2/php.ini

 

 

   将acidbase目录的权限设置为777

      chmod 777 -R /var/www/*

      3、配置BASE

      将现有的配置文件改名,否则无法使用web界面配置base。

      # mv /etc/acidbase/base_conf.php /etc/acidbase/base_conf.php-orig

      还有软链接文件

      #rm /var/www/acidbase/base_conf.php

      现在通过浏览器打开 http://10.1.1.106/acidbase/

      开始配置我们的基本安全分析引擎了。

      打开上面的网址,出现了如下界面:

 

   单击Continue按钮,进入Step1of5界面,如下图所示:

  这里我选择的是简体中文

      输入ADODB的路径“/usr/share/php/adodb”,单击提交按钮。

      提醒:这里ADODB的路径,可以用如下命令去搜索

      find / -name adodb

      提交后,进入了Step 2 of 5界面,如下图所示:

 

 

  输入数据库信息,Pick a Database type:MySQL,Database Name:snortdb,Database Host:127.0.0.1,Database User Name:snort,Database Password:snortpassword

      单击下面的提交按钮进入Step 3 of 5,如下图所示:

 

 

    设置用户名和密码

      单击提交按钮,进入Step 4 of 5界面,如下图所示:

 

  单击上图红框框部分,在数据库中创建BASE用到的表。

 

 

  表示数据表创建成功,单击Now continue to step 5,进入管理界面,如下图:

 

 

使用基本安全分析引擎查看入侵日志

      1、使用nmap对ids主机进行端口扫描

      使用桌面上的nmap对ids主机进行端口扫描

 

 

 

 

 

    刷新浏览器页面,就可以看到“端口扫描通信”有数据了,点击进去可以查看详情。

 

 

 

 

 

标签:acidbase,etc,检测,IDS,var,snort,mysql,入侵,snortdb
来源: https://www.cnblogs.com/dun1572523/p/15484503.html